病毒名称:
Backdoor.Sdbot.amh
类别: 后门病毒
病毒资料:
破坏方法:
一个集后门蠕虫于一身的蠕虫病毒.
病毒行为:
病毒运行后将自己复制到%system%目录下,文件名为:
X-Bot.exe
并在注册表中增加以下注册表键值:
1
HKEY_LOCAL_MACHINE\Software\Microsoft
\Windows\Currentversion\Run
"Microsoft Synchronization Manager" = X-BOT.EXE
2
HKEY_CURRENT_USER\Software\Microsoft
\Windows\Currentversion\Run
"Microsoft Synchronization Manager" = X-BOT.EXE
3
HKEY_LOCAL_MACHINE\Software\Microsoft
\Windows\Currentversion\RunServices
"Microsoft Synchronization Manager" = X-BOT.EXE
随后病毒驻留内存,将以特定的昵称登录特定的mirc服务器。以方便病毒作者进行控制.
控制者可能进行文件下载,上传,启动.网络Flooder攻击等操作.
局域网传播:
病毒尝试对局域系统进行ipc联接,(病毒用体内带的密码字典进行管理员用户密码试探) 一但成功,病毒将自己复制到目标系统的以下目录。以达到传播目的.
C$\windows\system32
C$\Documents and Settings\All Users\Documents
C$
C$\shared
PRINT$
IPC$
C$\winnt\system32
ADMIN$\system32
盗取游戏cdkey:
病毒将从注册表:
Software\IGI 2 Retail\CDKey
Software\Electronic Arts\EA GAMES\Generals\ergc
Software\Electronic Arts\EA Sports\FIFA 2003 \ergc
Software\Electronic Arts\EA GAMES\Need For Speed Hot Pursuit 2\ergc
Software\BioWare\NWN\Neverwinter
SOFTWARE\Red Storm Entertainment\RAVENSHIELD
SOFTWARE\Electronic Arts\EA GAMES\Battlefield 1942 The Road to Rome
SOFTWARE\Electronic Arts\EA GAMES\Battlefield 1942
...
获取cdkey.以备控制者查取.
病毒的清除法:
使用光华反病毒软件,彻底删除。
病毒演示:
病毒FAQ:
Windows下的PE病毒。
发现日期:
2004-12-29